Datenschutz-Richtlinie

Stand: 16. April 2026 · Verantwortlich: Martin Wiederhold

Diese Richtlinie beschreibt, welche personenbezogenen Daten die iOS-App Flowly („App") erhebt, wie sie verarbeitet werden und welche Rechte du als Nutzerin oder Nutzer hast. Wir halten die Datenschutz-Grundverordnung (DSGVO) ein.

1. Verantwortlicher

Martin Wiederhold
E-Mail: flowly@support.app

2. Welche Daten erheben wir?

a) Authentifizierung (Apple Sign-In)

Wenn du dich mit Apple Sign-In anmeldest, erhalten wir deine Apple User ID und deine E-Mail-Adresse. Apples Private Relay-Adressen werden unterstützt — du kannst also eine anonymisierte E-Mail verwenden. Weitere Informationen (Name, Profilbild, o. ä.) werden nicht abgefragt.

b) Von dir eingegebene Finanzdaten

Alle Einnahmen, Ausgaben, Fixkosten, Sparziele, Konten und Split-Gruppen, die du in der App anlegst, werden in einer verschlüsselten Postgres-Datenbank bei Supabase (Region EU) gespeichert. Pro Datensatz ist über Row-Level-Security sichergestellt, dass nur du deine Daten lesen und schreiben kannst.

c) Belege und Foto-Scans (optional)

Wenn du die Beleg-Scan-Funktion nutzt, wird das aufgenommene Foto in einem privaten Supabase-Storage-Bucket unter deinem eigenen User-ID-Namespace abgelegt. Die Texterkennung (OCR) läuft vollständig auf deinem iPhone via Apple ML Kit — das Bild wird zu keinem Zeitpunkt zur Analyse an einen Server gesendet. Du kannst die Speicherung des Fotos pro Beleg über einen Toggle deaktivieren.

d) Face ID

Wenn du Face ID zum Schutz der App aktivierst, läuft die Gesichtserkennung ausschließlich lokal auf deinem Gerät (Apple Secure Enclave). Flowly selbst erhält keine biometrischen Daten — nur die Information, ob die Authentifizierung erfolgreich war.

3. Was wir nicht tun

• Keine Analytics-Tracker (kein Google Analytics, kein Mixpanel, kein Sentry, keine Drittanbieter-Libraries)
• Keine Werbung, keine Werbenetzwerke
• Keine Weitergabe oder kein Verkauf deiner Daten an Dritte
• Keine Cloud-OCR — Beleg-Texterkennung läuft on-device
• Kein Profiling deines Finanzverhaltens

4. Auftragsverarbeiter

Für den Betrieb der App setzen wir folgende Dienstleister ein:

• Supabase Inc. (Datenbank, Authentifizierung, Storage, Edge Functions) — Server in der EU, AWS-Infrastruktur. Ein Data Processing Agreement (DPA) nach Art. 28 DSGVO ist auf Anfrage verfügbar.
• Apple Inc. (Sign in with Apple, TestFlight-Auslieferung) — US-basiert, Datentransfers erfolgen auf Grundlage der EU-Standardvertragsklauseln (SCC).
• Netlify, Inc. (Hosting dieser Website, nicht der App selbst).

5. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Speicherung deiner Finanzdaten zur Bereitstellung der App-Funktionalität.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Face ID, Beleg-Foto-Speicherung und Kamera-Zugriff.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Betrieb und Stabilität der Infrastruktur.

6. Speicherdauer

Deine Daten werden gespeichert, solange dein Account besteht. Löschst du dein Konto über Profil → Konto löschen, werden Auth-Eintrag, alle Datenbank-Zeilen (Profil, Transaktionen, Fixkosten, Sparziele, Konten, Split-Gruppen, Kategorien) sowie alle Storage-Belege sofort und permanent gelöscht. Backups, die nach der Löschung Daten enthalten würden, existieren nicht.

7. Deine Rechte (Art. 15–21 DSGVO)

• Auskunft (Art. 15): Exportiere alle Transaktionen als CSV über Profil → Daten exportieren. Für einen vollständigen Datenabzug kontaktiere uns.
• Berichtigung (Art. 16): Du kannst alle Einträge direkt in der App jederzeit bearbeiten.
• Löschung (Art. 17): Profil → Konto löschen löscht alles unwiderruflich.
• Einschränkung / Widerspruch (Art. 18, 21): Kontaktiere uns per E-Mail.
• Datenübertragbarkeit (Art. 20): Der CSV-Export deckt diese Pflicht ab; auf Anfrage liefern wir zusätzlich einen strukturierten JSON-Export.
• Beschwerderecht (Art. 77): Du kannst dich bei der zuständigen Datenschutz-Aufsichtsbehörde beschweren.

8. Datensicherheit

Die Kommunikation zwischen App und Server ist durchgehend TLS-verschlüsselt. Datenbank-Zeilen sind durch Row Level Security geschützt — jeder Zugriff wird serverseitig gegen auth.uid() geprüft. Supabase verschlüsselt Daten at rest.

9. Änderungen dieser Richtlinie

Wir passen diese Richtlinie an, wenn sich Technik oder rechtliche Lage ändert. Das jeweilige Datum siehst du oben.

10. Kontakt

Bei Fragen zum Datenschutz schreib an flowly@support.app. Wir antworten in der Regel innerhalb von ein paar Tagen.